ISO27001的产生背景和发展历程

ISO27001源于英国标准BS7799的第二部分，即BS7799-2《信息安全管理体系规范》。英国标准BS7799是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。BS7799标准于1993年由英国贸易工业部立项，于1995年英国*出版BS7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全*惯例组成的实施规则，其目的是作为确定各类信息系统通用控制范围的*参考基准，并且适用于大、中、小组织。1998年英国公布标准...

ISO27000信息安全风险评估FAQ

为什么要进行信息安全风险评估？通过风险评估，你可以知道组织范围内存在哪些重要的信息资产、信息处理设施及其面临的威胁，发现技术和管理上的脆弱点，综合评估现有综合资产的风险状况。什么是信息安全风险评估？风险评估：对信息及信息载体、应用环境等各方面风险进行辨识和分析的过程，是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程。风险评估为管理层确定具体的安全策略，以及在“成本-效益”平衡基础上做决策服务；风险控制措施为组织实施信息安全的改...

ISO27001标准简介

世界广泛采用的关于信息安全管理体系的英国标准——BS7799-2:2002，经修订后，于2005年10月15日作为国际标准ISO/IEC27001:2005发布。本文旨在向组织指出标准的变化及在实际应用中的意义，协助组织做好向新标准过渡的准备。新标准的正式标题是：《BS7799-2:2005(ISO/IEC27001:2005)信息技术-安全技术-信息安全管理体系-要求》这意味着它不仅仅是IT标准，标题中的“信息技术-安全技术”表明它还是以ISO委员会(J...

ISO27000系列标准介绍(1)

ISO已为信息安全管理体系标准预留了ISO/IEC27000系列编号，类似于质量管理体系的ISO9000系列和环境管理体系的ISO14000系列标准。规划的ISO27000系列包含下列标准：ISO27000ISO27001ISO27002ISO27003ISO27004ISO27005ISO27006ISO27007上述标准中，ISO27001是ISO27000系列的主标准，类似于ISO9000系列中的ISO9001，各类组织可以按照ISO27001的要求...

ISO27000系列标准介绍(2)

Informationtechnology--Securitytechniques--Informationsecuritymanagementsystems--Overviewandvocabulary信息技术—安全技术—信息安全管理体系—概况与术语该标准目前已完成委员会草案，计划2007年11月完成最终标准草案，2008年5月发布。标准介绍：该标准对应用于信息安全管理体系的ISO/IEC27000系列标准的概况、状态和关系提供说明，并规定了与ISO/I...

ISO27001信息安全管理系统标准

在日趋网络化的世界里，「信息」对建立竞争优势起着举足轻重的作用。但它同时也是柄双刃剑，当信息被意外或刻意的传给恶意的接收者时，同样的信息也可能导致一所机构倒闭。在当今的信息时代，科技无疑为我们解决了不少问题。国际标准组织(ISO)应此类需求，制定了ISO27001:2005标准，为如何建立、推行、维持及改善信息安全管理系统提供帮助。信息安全管理系统(ISMS)是高层管理人员用以监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、客户及法律要求的一个...